DC系列靶机(六)
DC系列靶機(jī)(六)
- DC系列靶機(jī)(六)
- 1. 實驗環(huán)境
- 2. 實驗過程
- 2.1 主機(jī)發(fā)現(xiàn)
- 2.2 端口掃描
- 2.3 滲透測試
- 2.4 提權(quán)
DC系列靶機(jī)(六)
1. 實驗環(huán)境
Kali Linux:192.168.253.135
DC-6靶機(jī):未知
本地主機(jī):win10
2. 實驗過程
2.1 主機(jī)發(fā)現(xiàn)
netdiscover -i eth0 -r 192.168.253.0/24
2.2 端口掃描
2.3 滲透測試
訪問web網(wǎng)站,但顯示無法訪問
這里可以在hosts文件中配置
成功訪問網(wǎng)站主頁
由wappalyzer插件可以得到該網(wǎng)站是利用wordpress框架搭建的
利用Dirb工具對網(wǎng)站目錄爆破
可以發(fā)現(xiàn)一個登陸頁面
由于該網(wǎng)站是利用wordpress框架搭建的,我們可以利用我WPScan工具對該服務(wù)器進(jìn)行用戶名破解
可以得到五個用戶名,將這五個用戶名寫入DC6users.txt
在vulnhub中有提示:告訴我們把kali自帶字典 rockyou.txt中包含k01字段的密碼導(dǎo)出來生成 一本字典的話會節(jié)省很多時間。
其中:| 表示用“|”前面輸出的數(shù)據(jù)給“|”后面命令做處理。
grep 表示用正則表達(dá)式匹配數(shù)據(jù)
> 表示將輸出數(shù)據(jù)寫入“>”后面文件。
利用WPScan進(jìn)行暴力破解
這里成功找到一對用戶名和密碼:mark / helpdesk01
利用mark / helpdesk01 這一對用戶名密碼登錄
登錄成功!!
登錄成功后可以發(fā)現(xiàn)一個插件Activity Monitor
Activity Monitor允許你從一臺計算機(jī)實時監(jiān)控所有計算機(jī)的行動,并紀(jì)錄所有計算機(jī)過去的使用情況。
嘗試查找Activity Monitor的漏洞
嘗試?yán)?5274.html這個漏洞,因為它是wordpress插件上的漏洞
將其下載到當(dāng)前目錄
查看該漏洞的詳細(xì)信息,這里需要對IP地址和端口進(jìn)行修改:
注意反彈shell的命令
在kali上開啟一個http服務(wù)
訪問45274.html這個網(wǎng)頁:
點擊Submit request后反彈shell成功 !!!
提升交互式shell:
訪問/home/mark目錄中存放的文件,然后發(fā)現(xiàn)一對新的用戶名和密碼:graham / GSo7isUM1D4
切換到graham用戶,查看/home/graham目錄下的文件,但是什么都沒有發(fā)現(xiàn)。
2.4 提權(quán)
嘗試一下SUID提權(quán):是一種權(quán)限類型,允許用戶使用指定用戶的權(quán)限執(zhí)行文件。
sudo -l-l 顯示出自己(執(zhí)行 sudo 的用戶)的權(quán)限
這里發(fā)現(xiàn)graham用戶可以以jens用戶的權(quán)限執(zhí)行backups.sh命令
我們可以將/bin/bash寫入到backups.sh文件中,并以jens用戶的權(quán)限執(zhí)行該命令
這里成功切換到j(luò)ens用戶
這里發(fā)現(xiàn)jens用戶可以以root權(quán)限執(zhí)行nmap。剛好我們知道nmap是可以用來提權(quán)的Linux可執(zhí)行性文件。
嘗試?yán)胣amp來進(jìn)行提權(quán)
這里提示我們文件必須以.nse為后綴
linux中 > 表示覆蓋原文件內(nèi)容(文件的日期也會自動更新),>> 表示追加內(nèi)容(會另起一行,文件的日期也會自動更新)。
這里成功提權(quán) !!!
成功得到flag !!!
總結(jié)
- 上一篇: 克鲁斯卡尔算法建立最小生成树
- 下一篇: 太阳能自动灌溉系统 利用spwm实现逆变